第八条 实施全面风险管理,应广泛、持续不断地收集与本企业风险和风险管理相关的内部、外部初始信息,包括历史数据和未来预测。应把收集初始信息的职责分工落实到各有关职能部门和业务单位,并根据实际情况选择合适的形式进行记录和整理,根据风险管理和监控的结果,对相关信息进行补充与修订,建设并及时更新风险信息库。
第九条 企业应定期(每年至少一次)开展风险评估工作,并形成风险评估报告。企业风险评估包括对企业各层面、各业务单元、各项重要经营活动及其重要业务流程中存在的风险进行全面辨识;对辨识出的风险及其特征进行明确的定义描述,分析发生风险可能性的高低、风险发生的条件;通过定性或定量分析,评价风险对企业实现目标的影响程度;对各项风险进行比较,确定对各项风险的管理优先顺序和策略。
第十条 企业应根据发展战略、风险评估结果和自身条件,制定统一的风险管理策略。在制定风险管理策略中,应确定企业统一的风险偏好与风险承受度,并据此确定风险的预警线及相应采取的对策,同时明确风险管理成本的资金预算和控制风险的组织体系、人力资源、应对措施等总体安排。
第十一条 企业应定期总结和分析已制定风险管理策略的有效性和合理性,根据风险评估结果,结合管理实际情况不断修订和完善。其中,应重点检查依据风险偏好、风险承受度和风险控制预警线实施的结果是否有效,并提出定性或定量的有效性标准。
第十二条 企业应组织各层面、各部门、各业务单位根据风险管理策略,针对各类风险或每一项重大风险制定风险管理解决方案。其中外包方案应注重成本与收益的平衡、外包工作的质量、自身商业秘密的保护以及防止自身对风险解决外包产生依赖性风险等,并制定相应的预防和控制措施。应当按照各有关部门和业务单位的职责分工,认真组织实施风险管理解决方案,确保各项措施落实到位。
第十三条 企业应建设内部控制系统,通过制度、程序、措施等要素来落实风险管理解决方案的具体内容。企业建设内控系统应针对重大风险所涉及的各项管理及业务流程,制定涵盖各个环节的全流程控制措施;同时对其他风险所涉及的业务流程,应把关键环节作为控制点,采取相应的控制措施。
